W ciągu ostatnich trzech tygodni wojna w Ukrainie zniszczyła świat, który znaliśmy. W jej efekcie ucierpiały rodziny, relacje, partnerstwa i więzi na całym świecie. Lawina tych tragicznych wydarzeń dotyka nas wszystkich.
Dotknęła również moje przedsiębiorstwo — największą na świecie prywatną firmę zajmującą się cyberbezpieczeństwem, która nosi moje nazwisko. W tym tygodniu niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) wydał ostrzeżenie dotyczące korzystania z produktów i rozwiązań firmy Kaspersky, powołując się na potencjalne zagrożenia dla bezpieczeństwa IT. Nie wdając się w szczegóły, mogę stwierdzić, że są to spekulacje — tezy te nie są poparte żadnymi obiektywnymi dowodami ani szczegółami technicznymi. Powód jest prosty. W ciągu 25-letniej historii firmy nigdy nie przedstawiono żadnych dowodów, które potwierdzałyby zasadność niezliczonych oskarżeń, jakoby była ona wykorzystywana do szkodliwych celów lub jej działalność była w jakikolwiek sposób nadużywana.
Z uwagi na brak takich dowodów mogę jedynie stwierdzić, że decyzja BSI została podjęta wyłącznie z powodów politycznych. To smutna ironia, że organizacja opowiadająca się za obiektywnością, transparentnością i kompetencjami technicznymi – tymi samymi wartościami, które firma Kaspersky wspiera od lat wraz z BSI i innymi europejskimi organami regulacyjnymi i branżowymi – zdecydowała lub została zmuszona do porzucenia swoich zasad dosłownie z dnia na dzień. Kaspersky, wieloletni partner i współpracownik BSI i niemieckiej branży cyberbezpieczeństwa, otrzymał zaledwie kilka godzin na zajęcie się tymi fałszywymi i bezpodstawnymi zarzutami. To nie jest zaproszenie do dialogu – to zniewaga.
Pomimo nieustannych propozycji ze strony firmy Kaspersky do przeprowadzenia szczegółowego audytu naszego kodu źródłowego, aktualizacji, architektury i procesów w naszych centrach transparentności w Europie, BSI nigdy tego nie zrobiło. Decyzja ta wygodnie pomija również fakt, że firma Kaspersky od lat jest pionierem w zwiększaniu transparentności poprzez poświęcenie wielu milionów euro na przeniesienie danych o zagrożeniach pochodzących od naszych europejskich Klientów do Szwajcarii w ramach naszej globalnej inicjatywy transparentności. Dlatego decyzję BSI uważam za nieuzasadniony i niesprawiedliwy atak na moją firmę, a w szczególności na pracowników firmy Kaspersky w Niemczech i Europie. Co ważniejsze, jest to również atak na dużą grupę konsumentów w Niemczech, którzy ufają firmie Kaspersky — dwa tygodnie temu zostaliśmy nagrodzeni za najlepszy produkt zabezpieczający (przez organizację AV-Test). Jest to również atak na stanowiska tysięcy niemieckich specjalistów ds. bezpieczeństwa IT, na funkcjonariuszy organów ścigania, których przeszkoliliśmy w zakresie walki z najnowocześniejszą cyberprzestępczością, na niemieckich studentów informatyki, którym pomogliśmy zdobyć umiejętności dające im gotowość do pracy, na naszych partnerów w projektach badawczych w najbardziej krytycznych obszarach cyberbezpieczeństwa oraz na dziesiątki tysięcy niemieckich i europejskich firm każdej wielkości, które chronimy przed całym spektrum cyberataków.
Uszczerbek dla reputacji i biznesu wynikający z decyzji BSI jest już ogromny. Mam tylko jedno pytanie – jaki jest cel takiego działania? Wycofanie marki Kaspersky w Niemczech nie sprawi, że Niemcy czy Europa będą bezpieczniejsze. Wręcz przeciwnie. Zgodnie z decyzją BSI niemieckim użytkownikom zdecydowanie zaleca się natychmiastowe odinstalowanie jedynego programu antywirusowego, który według AV-Test — niezależnego niemieckiego instytutu bezpieczeństwa IT — gwarantuje 100% ochronę przed oprogramowaniem ransomware. Oznacza to, że czołowi niemieccy producenci sprzętu przemysłowego nie będą już otrzymywać informacji o krytycznych lukach w oprogramowaniu i sprzęcie od zespołu Kaspersky ICS-CERT — organizacji, która jest znana z odpowiedzialnego ujawniania takich danych. Oznacza to, że niemieccy giganci motoryzacyjni pozostaną nieświadomi błędów, które mogą umożliwiać zaatakowanie całego pokładowego systemu komputerowego i zmianę jego logiki. Skutkiem będzie pojawienie się ogromnego martwego punktu na powierzchni ataków, z którym będą musiały poradzić sobie osoby odpowiedzialne za reagowanie na incydenty i operatorzy centrów operacji bezpieczeństwa w Europie, którzy nie będą już otrzymywać danych o zagrożeniach z całego świata – a w szczególności z Rosji.
Moja wiadomość dla BSI, które obecnie wydaje się unikać kontaktów z naszym niemieckim oddziałem, jest następująca: uważamy tę decyzję za niesprawiedliwą i całkowicie błędną. Niemniej jednak pozostajemy otwarci na rozwiązywanie wszelkich problemów w sposób obiektywny, techniczny i uczciwy. Jesteśmy wdzięczni europejskim organom regulacyjnym i ekspertom branżowym, którzy przyjęli bardziej zrównoważone podejście i nawołują do przeprowadzenia dodatkowej analizy technicznej oraz kontroli rozwiązań bezpieczeństwa i łańcucha dostaw IT. Ja jestem w pełni zaangażowany we współpracę i dostarczanie wszystkich informacji wymaganych od firmy Kaspersky w trakcie tego procesu. Naszym niemieckim i europejskim Klientom chcę powiedzieć, że jesteśmy niezmiernie wdzięczni za wybór firmy Kaspersky i że będziemy nadal robić to, co robimy najlepiej – chronić Państwa przed wszystkimi cyberzagrożeniami, bez względu na to, skąd pochodzą, zachowując jednocześnie pełną transparentność w odniesieniu do naszej technologii i działalności.
Wojna w Ukrainie może zakończyć się tylko poprzez dyplomację. Wszyscy mamy nadzieję na zaprzestanie działań wojennych i kontynuowanie dialogu. Ta wojna jest tragedią, która już przyniosła cierpienie niewinnym ludziom i reperkusje w całym naszym hiperpołączonym świecie. Globalna branża cyberbezpieczeństwa, która została zbudowana w oparciu o zaufanie i współpracę w celu ochrony łączących nas ze sobą cyfrowych powiązań, może doświadczyć niezamierzonych szkód pobocznych – a tym samym sprawić, że wszyscy będą jeszcze mniej bezpieczni.